De norm voor veilige communicatie van gezondheidsinformatie is coming

Transcriptie

1

2 De norm voor veilige communicatie van gezondheidsinformatie is coming Toelichting bij de achtergrond en inhoud van de NTA-7516 Maart 2019, Zorg & ICT Rick Goud, Oprichter ZIVVER

3 Over mij Rick Goud 37 jaar CV MSc in Medische Informatiekunde MSc in Zorgmanagement PhD in Decision Support Systems in de zorg. 6 jaar ervaring als (senior) strategieconsultant bij Gupta Strategists. 4 jaar geleden ZIVVER opgericht; inmiddels 90 medewerkers en 1700 organisaties als klant in NL, BE en DE

4 Wat is de uitdaging met gevoelige informatie in , chat en file-transfer? Je wilt niet schitteren in het nieuws door een datalek.

5 We delen allemaal gevoelige informatie Iedereen gebruikt dagelijks , chat en file-transferdiensten Personeelsdossier Financiële data Medische gegevens Databestanden Contracten Managers Directieleden Patiënten Partner Klanten Arbodienst ext. Accountants Zorgverleners Adviesbureaus Leveranciers HR RvT

6 AVG zorgt voor een privacyuitdaging voor organisaties Medewerkers veroorzaken meer dan 95% datalekken bij uitwisseling informatie Oorzaken van datalekken NL in % 7% 9% 11% 4% gemelde datalekken (+109%) (+109%) 63% Menselijke fout Derden (Hacking) Anders 63% Informatie naar verkeerde ontvanger 9% Brief kwijt geraakt of geopend retour 7% Verloren of gestolen apparaat 6% Verkeerde publicatie van informatie 4% Hacking, Malware, Phishing 11% Anders Bron: Autoriteit persoonsgegevens: Meldeplicht datalekken: facts & figures, overzicht feiten en cijfers % Kosten datalek voor organisaties Boetes tot 20 mln, interne herstelkosten, imagoschade en schadevergoeding

7 Nederlanders meldden 5x meer datalekken dan Duitsers en Engelsen en 25x meer dan Belgen *Deze cijfers zijn berekend door het aantal gemelde datalekken te delen door het totaal aantal inwoners van een land, vermenigvuldigd met Deze analyse is gebaseerd op data gerapporteerd in het CIA World Factbook (juli 2018 aantallen). Bron: news/2019/02/dla-piper-gdpr-data-breach-survey/

8 Huidige oplossingen zijn onveilig en/of inefficiënt is moeilijk te beveiligen Offline delen is niet efficiënt Menselijke fouten niet ondervangen Geen zicht op risico s TLS aanzetten is niet voldoende Duur, onhandig en niet per se veilig Fouten zijn belangrijkste oorzaak datalekken Terwijl belangrijkste eis GDPR/AVG

9 De NTA-7516 is op komst De norm voor veilige ad-hoc communicatie van gezondheidsinformatie biedt duidelijkheid over eisen aan communicatie(-oplossingen)

10 De NTA-7516 Achtergrond van de NEN-Norm voor veilige uitwisseling van ad-hoc berichten met persoonlijke gezondheidsinformatie De Autoriteit Persoonsgegevens (AP) heeft in september 2018 aangegeven te willen gaan handhaven op GDPR-compliance met betrekking tot uitwisseling van gezondheidsinformatie Aandachtsgebied is ad-hoc communicatie omdat dit grootste oorzaak van datalekken is (90+%) In opdracht van VWS stelt de NEN nu een norm op voor veilig communiceren van gezondheidsinformatie die de AP gaat gebruiken als basis voor controle op compliance De norm krijgt als referentie de NTA Een Nederlands Technische Afspraak is een voorloper van een NEN-norm De NTA-7516: - gaat gelden voor alle organisaties die zorginformatie versturen. Dus naast zorginstellingen ook gemeenten, justitie, UWV, etc. - vormt een aanvulling op de normen die er al zijn (NEN 7510, 7512, 7513, WGBO, etc.) - wordt (waarschijnlijk) begin Q gepubliceerd Organisaties hebben na publicatie van de norm een jaar om hieraan te voldoen. Daarna zegt de AP te gaan handhaven

11 Het doel van de NTA-7516 Dat en chatapplicaties als veilige vorm van uitwisseling van persoonlijke gezondheidsinformatie worden gebruikt De NTA 7516 heeft 2 belangrijke doelstellingen: 1 Ad-hoc communicatie van gezondheidsinformatie gaat altijd veilig: De NTA-7516 is bedoeld om het gebruik van en chatapplicaties (al dan niet aangeboden via een berichtenportaal) te voorzien van randvoorwaarden en zo veilige en betrouwbare uitwisseling van persoonlijke gezondheidsinformatie te borgen. 2 Verschillende oplossingen moeten worden gekoppeld: De NTA-7516 beoogt te bewerkstelligen dat er tussen de verschillende oplossingen die er voor professionals beschikbaar zijn, onderling berichten uitgewisseld kunnen worden, ongeacht wie hun leverancier is.

12 De NTA stelt eisen aan beschikbaarheid en integriteit (1/6) Eisen aan beschikbaarheid Minimale beschikbaarheid: De minimaal aanvaardbare tijd dat communicatie mogelijk moet zijn is 99%, oftewel 3,65 dagen per jaar Maximale uitvalduur: De hoogst aanvaardbare aaneengesloten uitvalduur van communicatie is 24 uur Maximaal gegevensverlies: Gegevensverlies is niet acceptabel (tenzij binnen 24 uur aan verzender bekend gemaakt) Eisen aan Integriteit Herkomstbevestiging: Aantonen dat verzender daadwerkelijk degene is die zich als zodanig uitgeeft moet door minimaal Authenticatiemethode te gebruiken met een betrouwbaarheidsniveau met het niveau substantieel hebben conform UeIDAS, oftewel 2-factor-authenticatie. Data-integriteit: De ontvangen inhoud moet gelijk zijn aan de verzonden inhoud. Aanpassing alleen in opdracht van verzender of ontvanger Onweerlegbaarheid verzender: Garantie dat verzending niet kan worden ontkend door de verzender vereist authenticatie met UeIDAS substantieel + maatregelen spoofing. Autorisatie verzender: De organisatie garandeert dat de verzender geautoriseerd is om een bericht aan een ontvanger te sturen. Vereist opstellen beleid door organisatie

13 De NTA stelt ook eisen aan vertrouwelijkheid (2/6) Eisen aan vertrouwelijkheid Gegevensvertrouwelijkheid: Door professionals opgeslagen berichten mogen niet in handen van onbevoegden komen. De opgeslagen berichtgegevens moeten in het geval ze onverhoopt in handen van onbevoegden komen onleesbaar zijn. Toegangsvertrouwelijkheid: Bericht kan uitsluitend door de beoogde ontvanger worden gelezen en/of verwerkt na authenticatiemiddel van het eidas-betrouwbaarheidsniveau substantieel voor personen en een authenticatiemiddel van het eidas-betrouwbaarheidsniveau hoog voor professionals. Communicatievertrouwelijkheid: De inhoud van berichten mag gedurende het transport (in-transit) niet in handen van onbevoegden in de communicatieketen komen. Als een bericht onverhoopt toch in handen van onbevoegden komt, dan moet het bericht onleesbaar zijn. Verzendingsgrond: De verzender bepaalt of de ontvanger voldoende gerechtigd is het bericht te ontvangen; of met andere woorden, of de verzender gerechtigd is om het bericht aan de ontvanger te versturen. Internationale communicatie: Communicatie met (toegang tot) persoonlijke gezondheidsinformatie mag niet in non-compatibele jurisdictie(s) geraken.

14 De NTA stelt verder eisen aan gebruiksvriendelijkheid (3/6) Eisen aan gebruiksvriendelijkheid Continuïteit van communicatie beantwoorden: Communicatie die is gestart door een professional moet door een ontvangende persoon kunnen worden beantwoord Continuïteit van communicatie doorsturen: Communicatie die is gestart door een professional of door hem wordt voortgezet, moet door een ontvangende persoon kunnen worden doorgestuurd. Veiligheid als gemak: Als verschillende keuzen tot uiteenlopende bescherming leiden, moet de veiligste keuze als standaard worden aangeboden. Veilig versturen moet dus de default zijn Leesbaarheid: De ontvanger van een bericht moet het bericht kunnen lezen met behulp van reguliere client-software en zonder een account bij de betreffende communicatiedienstenaanbieder te moeten aanmaken. Eigen kopie: De ontvanger van een bericht moet het bericht veilig en eenvoudig kunnen opslaan op een zelf gekozen locatie in een formaat dat met reguliere clientsoftware leesbaar is. Denk aan downloaden als.eml Door personen geinitieerde communicatie: De professional moet een mogelijkheid bieden waarmee personen zelf op eigen initiatief veilig kunnen communiceren en moet dit op brede schaal aankondigen (bv op zijn website) en moet voor iedereen eenvoudig te gebruiken zijn.

15 De NTA stelt tot slot eisen aan interoperabiliteit (4/6) Interoperabiliteit Dossierkoppeling: Berichten behoren veilig en eenvoudig aan een dossier van een professional te kunnen worden toegevoegd. Denk aan via een knop direct kunnen opnemen in dossier met herkennen van kenmerken (bv BSN) Multikanaalcommunicatie: De mogelijkheid om berichten die van een andere communicatiedienstenaanbieder afkomstig zijn, verder te verwerken en vice versa. Interoperabiliteit met diensten van andere communicatiedienstenaanbieders die voldoen aan NTA 7516, moet mogelijk zijn binnen dezelfde functionaliteit.

16 Professional moet beleid vaststellen over gebruik geïmplementeerde communicatiemogelijkheden. (5/6) Er moeten ten minste regels worden vastgesteld over: Het waarnemen van collega s tijdens diens afwezigheid Mandatering en delegatie van toegang tot berichten De toegang tot informatie zonder een directe behandelrelatie (in zorginstellingen) De toegang tot functionele berichtenboxen (bv orthopedie@voorbeeld.nl) Het gebruik van geautomatiseerde functies bij ontvangst van berichten (bv autoreply, leesbevestiging) Bewaartermijnen Sleutelbeheer indien van toepassing, de mogelijkheden voor forensisch onderzoek en key escrow-regeling Verantwoordelijkheden en verzendingsgronden Het gebruik van een adresboek Het gebruik van functies die kunnen resulteren in het intrekken of wijzigen van berichten De continuïteit van de dienstverlening bij faillissement van de communicatiedienstenaanbieder Het informeren van de persoon over de veilige voorziening

17 Logging van handelingen en gebeurtenissen is ook vereist (6/6) Categorieën van gebeurtenissen die moeten worden gelogd: Alle gebeurtenissen met betrekking tot het versturen van berichten Het intrekken van verzonden berichten Het wijzigen van verzonden berichten Het doorsturen van ontvangen berichten Het aanmaken en opheffen van een en/of chat-account Het toekennen, wijzigen en intrekken van rechten aan een en/of chat-account Het verwijderen (bij de verzender) van verzonden berichten Alle gebeurtenissen met betrekking tot het ontvangen van berichten Alle gebeurtenissen met betrekking tot authenticatie gebruikers voor uitvoeren van handelingen op berichten De toegang tot loggegevens Het raadplegen van ontvangen berichten Het wijzigen of verwijderen van loggegevens Het verwijderen van ontvangen berichten

18 Wat te doen? Begin op tijd met voorbereidingen!

19 Voldoen aan de NTA-7516 Organisaties (professionals) moeten zelf zorgen dat ze voldoen aan de NTA-7516, waarbij ze een of meer gecertificeerde leveranciers selecteren waarmee uitwisseling veilig kan plaatsvinden Organisatie/professional Opstellen beleid + lijst van criteria die voor zijn praktijk en risicoprofiel gelden Communicatieaanbieder/ Leverancier Opstellen zelfde lijst van criteria, aangevuld met waarde die zij kunnen realiseren Organisatie/professional Kiezen van aanbieder(s) die aan criteria voldoet NB1: Begin tijdig met het inventariseren van huidige -, chat- en portaalcommunicatiestromen, bepaal welke aanvullende maatregelen nodig zijn NB2: Selecteer tijdig leveranciers die kunnen zorgen dat uw aan de norm kan voldoen NB3: Laat in uw keuzes gebruiksvriendelijk erg zwaar meewegen! Anders wordt de oplossing niet gebruikt, gaan gebruikers omwegen zoeken en voldoet u niet aan de norm!

20 +31 (0)